Comment corriger l’erreur ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN ?

Dans cet article, nous allons vous montrer comment corriger l’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN dans Google Chrome, un problème assez rare causé par un épinglage de clé incorrect. En raison de sa complexité, seuls les propriétaires de sites web peuvent résoudre ce problème. En outre, vous devez bien connaître les spécificités de l’épinglage. Nous vous recommandons vivement d’arrêter d’épingler des clés à moins que vous ne soyez un expert.

Comment corriger l’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN en tant que propriétaire de site web ?

Pour les propriétaires de sites web, la meilleure solution à ce problème est la prévention. N’épinglez les clés que si vous savez parfaitement ce que vous faites.

En théorie, l’épinglage de la clé publique HTTP (HPKP) était une fonction de sécurité prometteuse, mais elle a échoué dans la pratique et a été rapidement supprimée de nombreux navigateurs modernes. L’idée était de lier une clé publique cryptographique particulière à un serveur spécifique afin de réduire le risque d’attaques de type “man-in-the-middle”.

Cependant, il n’est pas simple d’associer la bonne clé au certificat, car vous devez associer vos clés et les clés du reste de votre chaîne de certificats, à l’exception de la racine dont les clés sont déjà incluses dans les magasins de racines.

Lorsque les utilisateurs visitent votre site, leurs navigateurs utilisent les clés publiques pour vérifier la signature du certificat principal et remonter jusqu’au certificat intermédiaire puis au certificat racine pour achever la poignée de main SSL. Si une seule clé est mal attachée, les navigateurs afficheront l’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN pour Chrome, et ses variantes dans les autres navigateurs.

À moins que vous ne travailliez pour une organisation technologiquement avancée qui épingle les clés pour des protocoles de sécurité internes, le meilleur conseil que nous puissions vous donner est de ne pas épingler les clés. Les experts en sécurité déconseillent l’épinglage de clés, mais même si vous avez essayé d’épingler une clé et que vous avez obtenu une erreur sur votre site web, la solution est simple. Réinstallez votre certificat SSL de la bonne manière et profitez d’un cryptage à toute épreuve. La validité actuelle du protocole SSL étant fixée à un an, il n’est pas nécessaire d’épingler les clés.

Comment corriger l’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN en tant que visiteur d’un site web ?

Malheureusement, si vous êtes confronté à l’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN en tant qu’utilisateur, vous ne pouvez pas y faire grand-chose. La meilleure solution consiste à contacter le propriétaire du site et à lui faire part du problème. Mais comme nous ne voulons pas vous laisser sans solution, nous allons vous présenter une solution qui vous obligera à soumettre le nom de domaine qui provoque l’erreur à la politique de suppression des domaines dans Chrome.

1. Ouvrez votre navigateur Chrome et tapez chrome://net-internals/#hsts dans la boîte URL.
2. Ensuite, faites défiler vers le bas jusqu’à ce que vous voyiez Supprimer les politiques de sécurité du domaine.
3. Dans la case Domaine, indiquez le domaine auquel vous ne pouvez pas accéder et cliquez sur supprimer.
4. Redémarrer le site web et voir si cela fonctionne

Dernières réflexions

L’erreur NET::ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN est un exemple parfait de mauvaise gestion des certificats SSL. Tous les certificats SSL émis par des autorités de certification dignes de confiance fonctionneront parfaitement si vous suivez les meilleures pratiques d’installation. Toutefois, si vous commencez à modifier des éléments essentiels de votre certificat, vous jouez avec le feu et vous vous exposez à des problèmes. L’épinglage des clés est un processus complexe qui ne vaut pas la peine d’y consacrer du temps et des efforts. La meilleure solution est d’éviter le key pinning.

Si vous trouvez des inexactitudes, ou si vous avez des détails à ajouter à ce tutoriel SSL, n’hésitez pas à nous faire part de vos commentaires à l’adresse [email protected]. Votre contribution serait très appréciée ! Nous vous remercions.

Site web vectoriel créé par stories – www.freepik.com